La actualización de junio de Android corrige ocho vulnerabilidades críticas

ActualidadSmartphonesActualizacionAndroid
Android

Sin que la mayoría de usuarios lo sepan, se supone que los dispositivos que ejecutan versiones compatibles de Android, reciben pequeñas actualizaciones cada mes, principalmente de seguridad.

Desafortunadamente, como señalamos en mayo, cuándo y si esto realmente sucede es una cuestión del interés que tenga el fabricante de cada dispositivo.

Las actualizaciones para los teléfonos Pixel de Google llegarán en algún momento de esta semana, cubriendo problemas funcionales y de seguridad.

Pero si su dispositivo está fabricado por otro proveedor, los parches de Android de junio podrían aparecer en cualquier momento desde el próximo mes hasta  finales de este año.

Dado que los dos niveles de parches de junio (2019-06-01 y 2019-06-05) comprenden solo 13 CVE más otras 9 de Qualcomm, esto podría no sonar como una pérdida no tan grande.

Pero si al mismo dispositivo también le faltan las actualizaciones anteriores, como le ocurrirá a muchos, el número de parches perdidos pasaría a ser de docenas.

Aumentado la confusión sobre las actualizaciones está la gran cantidad de versiones de Android, que le dio pie al CEO de Apple, Tim Cook, a decir en la conferencia WWDC 2019 de esta semana que la versión más reciente de Android solo se ejecuta en el 10% de los dispositivos móviles de Google en comparación con el 85% de los iPhones que ejecutan la última versión de iOS.

Parches de junio

A pesar del modesto recuento de vulnerabilidades, el hecho de que 8 estén marcadas como ‘críticas’ y 14 ‘altas’ es razón suficiente para quererlos implementar lo antes posible, con 2 de los críticos (CVE-2019-2094 y CVE-2019-2095) que sólo afectan a la versión 9.

Siete son elevación de privilegios (EoP), cuatro son ejecución de código remoto (RCE), dejando las vulnerabilidades restantes sin designación.

Por política, Google no proporciona muchos detalles sobre las vulnerabilidades individualmente, pero sí menciona que la vulnerabilidad más grave de este mes está en el media framework  que podría permitir:

Un atacante remoto que utiliza un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado.

Mientras tanto, CVE-2019-2097 en el sistema Android podría:

Permite que un atacante remoto use un archivo PAC especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado.

Afortunadamente, el aviso continúa, Google no ha recibido informes de que se esté explotando ninguna de estas graves vulnerabilidades.

¿Qué hacer?

Cualquiera que busque entender la diferencia entre los dos niveles de parches de Android debe leer la explicación que ofrecimos como parte de la cobertura a los parches de Android de abril.

Los proveedores individuales a menudo publican sus propios avisos ofreciendo información más clara que las actualizaciones oficiales de Android de Google. Por ejemplo, aquí están las actualizaciones de junio de 2019 para Samsung, Nokia, Motorola, LG y Huawei.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.